捕获过滤器PCAP - 过滤IP地址以减小文件大小

Question

目前，我有一些流量正在转发到数据中心中的某台计算机，因此此计算机上运行的PCAP脚本可以捕获所有这些流量。经过一段时间后，使用7 zip压缩文件以使文件尽可能小。

目前的工作流程包括直接从数据中心收集文件并上传到工作机器进行分析。我们可以访问网络中不在数据中心的另一台计算机，并希望通过网络收集这些文件。唯一的问题是，PCAP将这种传输包含在文件中，并且它们已经被压缩，导致文件大小膨胀，从小于10MB增加到80MB +。

收集所有网络流量非常重要，所以我希望只是为了过滤掉这两台机器之间的传输，而不是指定我需要捕获的所有连接。

我尝试添加：

“-f不SRC净10.213.121.13” “-f不是主机10.213.121.13” 的脚本，但在这两种情况下，它抱怨语法问题。任何想法如何实现这一点，将不胜感激。

脚本：

dumpcap -I，-B文件大小：100000个文件：200 -f不SRC净10.213.121.13 -w C：\ WIRESHARK_LOGS \ log_dumpcap

Answer 1

的问题是，dumpcap要求不像TCPDump那样可以引用过滤器表达式（或者如果包含BPF过滤器或其他shell消解字符，将需要引号）。因此，下面应该可以解决你的问题，因为你问它：

dumpcap -i1 -b filesize:100000 files:200 -f 'not src host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap 

不过，我假设你将使用TCP来传输文件。如果是这样的话，你真的不想要的ACK包要么，所以：

dumpcap -i1 -b filesize:100000 files:200 -f 'not host 10.213.121.13' -w C:\WIRESHARK_LOGS\log_dumpcap 

我会建议然而，您可能希望调整更多。我建议指定用于传输的端口，这样您就不会盲目进入10.213.121.13框中的所有其他流量。